一文讀懂GB ：8.3.5.1 密鑰防非法獲取和訪問安全測試

GB 《汽車整車信息安全技術(shù)要求》是我國智能網(wǎng)聯(lián)汽車領(lǐng)域的首批強(qiáng)制性國家標(biāo)準(zhǔn)之一，旨在提升汽車產(chǎn)品的信息安全防護(hù)技術(shù)水平，強(qiáng)化產(chǎn)業(yè)鏈風(fēng)險(xiǎn)防范和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力12。以下是對(duì)該標(biāo)準(zhǔn)的詳細(xì)解讀：

標(biāo)準(zhǔn)背景與核心內(nèi)容背景：隨著智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的迅速發(fā)展，汽車智能化、網(wǎng)聯(lián)化程度不斷提高，信息安全問題日益突出。該標(biāo)準(zhǔn)參考了ISO/SAE 21434、UNECE R155等國際主流標(biāo)準(zhǔn)和法規(guī)，結(jié)合我國智能網(wǎng)聯(lián)汽車發(fā)展現(xiàn)狀和實(shí)際應(yīng)用場景制定3。

核心內(nèi)容：標(biāo)準(zhǔn)規(guī)定了汽車信息安全管理體系要求，以及外部連接安全、通信安全、軟件升級(jí)安全、數(shù)據(jù)安全等方面的技術(shù)要求和試驗(yàn)方法12。

適用范圍和實(shí)施日期

適用范圍：適用于M類、N類及至少裝有1個(gè)電子控制單元的O類車輛145。

實(shí)施日期：自2026年1月1日起開始實(shí)施

測試子項(xiàng)解析：8.3.5.1 密鑰防非法獲取和訪問安全測試

安全要求：

7.4.1 車輛應(yīng)采取安全訪問技術(shù)或安全存儲(chǔ)技術(shù)保護(hù)存儲(chǔ)的對(duì)稱密鑰和非對(duì)稱密鑰中的私鑰，防止其被非授權(quán)訪問和獲取。

測試指導(dǎo)方法：

測試人員應(yīng)依據(jù)車輛密碼使用方案，確認(rèn)測試零部件，并按照以下三種測試方法中適用的測試方法開展測試，判定車輛是否滿足 7.4.1的要求：

a）若采取安全訪問技術(shù)存儲(chǔ)密鑰，通過零部件訪問接口進(jìn)行破解、提取等攻擊操作，測試是否可對(duì)密鑰非授權(quán)訪問和獲取；

b）若采取 HSM等硬件安全模塊存儲(chǔ)密鑰，應(yīng)依據(jù)硬件安全模塊安裝位置說明文檔，檢查車輛是否在文檔標(biāo)識(shí)位置安裝了硬件安全模塊來保護(hù)密鑰；

d）若采取安全的軟件存儲(chǔ)形式存儲(chǔ)密鑰，應(yīng)依據(jù)車輛制造商提供的保證車輛密鑰安全存儲(chǔ)證明文件，檢查是否安全存儲(chǔ)密鑰。

試驗(yàn)方法一：

步驟1：根據(jù)提供的車輛密碼使用方案確定目標(biāo)零部件及密鑰讀取方式，若密鑰存儲(chǔ)在系統(tǒng)內(nèi)部，則執(zhí)行步驟2。若密鑰可以通過診斷方式讀取，則執(zhí)行步驟3；

步驟2：對(duì)被測系統(tǒng)調(diào)試登錄進(jìn)行暴力破解，進(jìn)入系統(tǒng)內(nèi)部后，嘗試提取密鑰數(shù)據(jù)；

步驟3：使用非授權(quán)的診斷工具接入OBD接口，并使用22服務(wù)讀取密鑰數(shù)據(jù)。

試驗(yàn)方法二：

步驟1：若采取 HSM等硬件安全模塊存儲(chǔ)密鑰，根據(jù)提供的硬件安全模塊安裝位置說明文檔，檢查目標(biāo)零部件芯片是否具備HSM功能。

步驟2：若采取安全的軟件存儲(chǔ)形式存儲(chǔ)密鑰，應(yīng)對(duì)提供的保證車輛密鑰安全存儲(chǔ)證明文件進(jìn)行審計(jì)。

行動(dòng)呼吁：早認(rèn)證，早受益！

聯(lián)系我們：立即獲取GB 《汽車整車信息安全技術(shù)要求》測試方案，專業(yè)顧問為您定制高效過審策略！！